随着智能手机等移动终端设备的普及,人们已经习惯了使用各种移动互联网应用程序。为切实保证用户的信息安全,开展APP安全认证工作,针对App隐私政策和个人信息收集使用情况进行评估。众多APP运营者响应号召,自愿申请安全认证。
本文就APP运营者普遍关心的安全认证的相关问题,进行整理如下。
同时道普信息风险保障专家建议,APP运营方可以借助第三方专业认证咨询服务,保障APP安全认证一次性通过,节省时间周期和杜绝2次检测费用。
问题一:什么是APP安全认证
APP认证是中国网络安全审查技术与认证中心(CCRC)实施的一种针对APP安全的认证证书。
为规范移动互联网应用程序收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护,根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》,市场监管总局、中央网信办发布《关于开展App安全认证工作的公告》,决定依据《移动互联网应用程序(App)安全认证实施规则》开展App安全认证工作。
参与App安全认证的认证机构是中国网络安全审查技术与认证中心(CCRC)。该机构是依据《国家网络安全法》和国家有关强制性产品认证、网络安全管理法规,负责实施网络安全审查和认证的专门机构。鼓励APP运营者申请安全认证的同时,推动有关个人信息安全保护的规则落到实处。
问题二:为什么要开展App安全认证?
APP安全认证属于自愿申请的认证,不在强制性认证范围之列,但取得安全认证,对于App运营者而言,可以获得如下优势:
(1)获得权威合规证明:获得认证即表明APP及其运营者满足《个人信息安全规范》及相应规范、标准的要求,是对APP安全能力的有力证明。无论是融资、并购还是上市,APP安全认证将会成为其评定APP运营者在个人信息保护合规方面的权威证明。
(2)赢得竞争优势:获证App运营者可将证书在网站、工作场所和宣传资料中展示,搜索引擎、应用商店等将明确标识并优先推荐通过认证的APP;在个人信息保护意识愈发强烈的当下,相较于竞品APP而言,获证APP更受到用户群体信赖,享有更加明显的竞争优势。
(3)安全开发能力证明:获得认证,是对APP安全能力的认可。若获证APP是外包开发单位开发,也是对开发单位能力的证明,能够让开发需求单位更信任开发单位能力。
问题三:APP安全认证的法律依据有哪些?
(1)落地文件
(2)认证依据
APP安全认证的目的在于规范APP收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护,因此APP安全认证所依托的核心认证依据为GB/T 35273《信息安全技术 个人信息安全规范》及相关标准、规范。
问题四:APP安全认证的适用范围如何?
APP安全认证适用于各个服务类型和领域的APP。《APP安全认证申请书》枚举了地图导航、网络约车、即时通讯等37种典型服务类型的APP,如申请认证的APP不属于37类中的任一类型,APP运营者亦可在“其他”选项中自行填写其APP所属服务类型。
问题五:如何确定安全认证的对象?
根据《APP安全认证实施细则》,APP安全认证原则上应按照APP版本申请认证。
(1)发布于不同操作系统平台(即Android或iOS平台)的APP应作为不同的申请单元申请APP安全认证;
(2)一般情况下,APP认证申请单元版本由主版本、子版本号组成,如同一名称的APP仅因子版本号、发布渠道等原因存在差异的,APP运营者向CCRC提交APP样本差异性说明即可,无需作为不同申请单元申请认证,但如APP主版本号发生变更,CCRC则认为该APP的业务功能发生了重大变化,因此主版本号发生的APP应作为新的申请单元申请认证。
问题六:APP安全认证的前提是什么?
申请APP安全认证,需提交APP符合安全技术标准的检测报告,检测依据为《信息安全技术-移动智能终端应用软件安全技术和测试评价方法》(GB/T34975-2017,简称“34975标准”)。为此,APP运营者需提交其自行或委托第三方检测机构出具的符合34975标准的检测报告,这是申请App安全认证的前提条件。
上述检测报告评价的是App的安全性,在此基础上,CCRC确定的检测机构对App是否符合《个人信息安全规范》(即合规性)进行检测。检测机构由CCRC根据认证业务需要和技术能力确定。
问题七:APP安全认证的流程如何?
App安全认证的认证模式为“技术验证+现场审核+获证后监督”,即APP运营者在分别通过“技术验证”和“现场审核”后,需对获证APP持续符合认证要求进行自评价,并将持续受到CCRC的日常监督和专项监督。
问题八:获得APP安全认证的周期是多久?
CCRC的认证时限,即自CCRC受理认证申请之日至其做出认证决定之日一般为90个工作日。上述认证时限包括资料审核时间、技术验证时间、现场审核时间、认证决定和证书批准时间以及制作时间,不包含整改时间。
问题九:APP安全认证的有效期多长?
APP安全认证证书的有效期为3年。当认证要求(如标准)发生变化时,APP运营者应按规定期限换证,超过规定期限未换发的认证证书自行失效。
当获证APP、APP运营者或CCRC规定的其他事项发生变更时,获证APP运营者需向CCRC提出变更申请,CCRC将根据变更申请的内容,决定批准变更或要求重新进行技术新技术验证和/或现场审核方能批准变更。
当获证APP、APP运营者发生应当暂停、撤销或注销认证的事项时,CCRC亦将按照规定暂停、撤销或注销获证APP的安全认证。
问题十:APP安全认证所需费用?
单一操作系统平台APP认证费用约18.98万元,对Android及iOS平台运行的同一APP认证费用约20万元,此费用含技术验证的检测费用和现场审核的评审费用(如有现场审核,需支付专家差旅)
问题十一:APP安全认证为什么需要认证咨询?
(1)APP安全认证过程中需要对APP进行检测,检测一次性通不过,需要额外缴纳费用,且价格较高,需要咨询机构技术上支持;
(2)APP安全认证过程稍微复杂,需要咨询机构提供技术上咨询支持;
(3)APP认证机构流程严格复杂,咨询机构可以协助缩短认证过程时间,节省时间成本。
问题十二:APP安全认证咨询的实施流程是什么?
作为专业APP安全认证咨询机构,道普信息向APP运营方提供全过程认证咨询服务。
签订咨询合同——对APP初测,满足技术要求(不满足进行APP修改)——协助提交认证申请——运营者缴纳认证费用(咨询机构代收或自行向认证中心缴纳)——跟踪受理过程——技术验证及支持——现场审核及支持——跟踪认证决定情况——认证证书发放。